X.509 클라이언트 인증서 및 기본 인증 체계
X.509 클라이언트 인증서 및 기본 인증 체계는 기본 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
sm1252sp1kkr
X.509 클라이언트 인증서 및 기본 인증 체계는 기본 인증과 X.509 클라이언트 인증서 인증을 결합한 것입니다. 이 인증 체계는 중요한 리소스에 대한 보안 수준을 강화해 줍니다.
사용자가 성공적으로 인증하려면 다음 두 이벤트가 발생해야 합니다.
- 사용자의 X.509 클라이언트 인증서가 확인되어야 합니다.
- 사용자가 올바른 사용자 이름 및 암호를 제공해야 합니다.
X.509 클라이언트 인증서 인증의 경우 정책 서버가 웹 에이전트에 사용자를 SSL 서버로 리디렉션하고 사용자의 인증서를 서버에 매핑하도록 지시합니다. 그런 다음 정책 서버는 사용자가 존재하는지 확인하고, 기본 자격 증명을 확인하고, 인증서 자격 증명과 기존 자격 증명이 동일한 사용자를 나타내는지 확인합니다.
2
X.509 클라이언트 인증서 및 기본 체계 사전 요구 사항
X.509 클라이언트 인증서 및 기본 인증 체계를 구성하기 전에 다음 사전 요구 사항을 충족하는지 확인하십시오.
- SSL 웹 서버에 X.509 서버 인증서가 설치되어 있어야 합니다.sm1252sp1kkr참고:정책 서버가 FIPS 모드에서 실행되는 경우 FIPS 승인 알고리즘만 사용하여 인증서가 생성되었는지 확인하십시오.
- 네트워크가 클라이언트 브라우저에 대한 SSL 연결(HTTPS 프로토콜)을 지원해야 합니다.
- 클라이언트 브라우저에 X.509 클라이언트 인증서가 설치되어 있어야 합니다.
- 클라이언트 인증서와 서버 인증서 간에 트러스트가 설정되어 있어야 합니다.
- 인증서가 트러스트된 유효한 CA(인증 기관)에서 발급된 것이어야 합니다.
- 인증서 발급 CA 공개 키를 통해 발급자의 디지털 서명에 대한 유효성이 검사되어야 합니다.
- 클라이언트 인증서와 서버 인증서가 만료되지 않아야 합니다.
- 사용자의 공개 키를 통해 사용자 디지털 서명에 대한 유효성이 검사되어야 합니다.
- 클라이언트 사용자 이름 및 암호 정보가 사용자 디렉터리에 있어야 합니다.
- 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
참고:
인증서가 필수이거나 선택 사항인 Apache 웹 서버의 경우에는 httpd.conf 파일에서 SSL Verify Depth 10 줄의 주석 처리를 제거해야 합니다.X.509 인증서 및 기본 인증 체계 구성
인증서 인증과 기본 인증을 결합하려면 X.509 인증서 및 기본 인증 체계를 사용하십시오.
sm1252sp1kkr
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.sm1252sp1kkr
다음 단계를 수행하십시오.
- "인프라", "인증"을 차례로 클릭합니다.
- "인증 체계"를 클릭합니다.
- "인증 체계 만들기"를 클릭합니다."인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
- "확인"을 클릭합니다.
- 이름 및 보호 수준을 입력합니다.
- "인증 체계 유형" 목록에서 "X509 클라이언트 인증서 및 기본 템플릿"을 선택합니다.
- SSL 자격 증명 수집기에 대한 서버 이름 및 대상 정보를 입력합니다.
- (선택 사항) "체계 설정"에서 "인증 세션 변수 유지"를 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 세션 저장소에 저장되도록 지정합니다.
- 제출을 클릭합니다.인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.